django-allauth: привязка нескольких учетных записей социальных сетей к одному пользователю

Если ваш пользователь уже вошел в систему, я успешно подключил другую учетную запись с помощью тега provider_login_url и установив атрибут process="connect". Вот фрагмент кода, который нужно вставить в блок, отображаемый для аутентифицированных пользователей:

{% load socialaccount %}
<p><a href="{% provider_login_url "facebook" process="connect" %}">Connect a facebook account</a></p>
<p><a href="{% provider_login_url "google" process="connect" %}">Connect a Google account</a></p>

Установите SOCIALACCOUNT_QUERY_EMAIL=True и не забудьте запросить адрес электронной почты в сфере действия ваших провайдеров:

SOCIALACCOUNT_PROVIDERS = \
    {'facebook':
         {'SCOPE': ['email', ],
          'AUTH_PARAMS': {'auth_type': 'reauthenticate'},
          'METHOD': 'oauth2',
          'LOCALE_FUNC': lambda request: 'pt_BR'},
     'google':
         {'SCOPE': ['https://www.googleapis.com/auth/userinfo.profile',
                    'email'],
          'AUTH_PARAMS': {'access_type': 'online'}
         },
}

Я также хочу знать, можно ли автоматически связать учетную запись с помощью адреса электронной почты. В столбце extra_data таблицы socialaccount_socialaccount я вижу, что и Google, и Facebook отправляют "verified_email": true. Для меня было бы достаточно автоматической привязки логинов и большого улучшения удобства использования.

Конечно, должен быть способ сделать это, не возлагая на пользователя ответственность? Может, по электронной почте?

Будьте очень осторожны с тем, как вы это делаете. Возможно, вы открываете огромную дыру в безопасности. Если вы не возлагаете какую-то ответственность на пользователя и просто автоматически связываете учетные записи с одним и тем же адресом электронной почты, вы вводите следующий вектор атаки:

• Найдите пользователя на своем сайте, выясните его адрес электронной почты (часто это очень просто)
• Создайте учетную запись у одного из ваших провайдеров с моей электронной почтой
• Подтвердите адрес электронной почты, добавьте его адрес электронной почты, удалите мой (только один из ваших провайдеров не сделает все возможное, чтобы эта дыра открылась)
• 'Зарегистрируйтесь' на вашу услугу с моей новой учетной записью провайдера с низким тарифом
• Автоматически подключитесь к исходному пользователю, получите доступ к его учетной записи

Вы можете предпринять шаги для снижения этого риска, но даже если все поставщики потребуют подтверждения по электронной почте сейчас, любая ошибка в сторонних командах может открыть эту дыру в вашей безопасности.

Может быть, риск оправдан тем, что вы делаете, но будьте осторожны. Небольшая нагрузка на пользователя - это, наверное, не самое страшное.

Я видел потоки, в которых предлагается автоматическое сопоставление, а затем запрашивается пароль или повторная аутентификация у одного из исходных поставщиков, чтобы добавить новую учетную запись в исходную учетную запись. У них не было бы такого же потенциала для использования, но были бы некоторые угловые случаи на уровне мозгов и сложности пользовательского интерфейса.